Manoela Popescu
Incidentele din sectorul public și privat în ceea ce privește securitatea cibernetică au condus la ideea unei noi legi privind îmbunătățirea securității cibernetice în UE, respectiv așa-numita Directivă privind securitatea rețelelor și a informațiilor (NIS2). Potrivit grupului PPE, noua lege „va îmbunătăți reziliența și capacitățile de răspuns la incidente ale sectorului public și privat și ale UE în ansamblu”. Reziliența cibernetică și securitatea cibernetică a Europei sunt esențiale pentru rezistența noastră economică. Tocmai de aceea, subliniază grupul PPE, trebuie luate „măsuri decisive pentru a crește gradul de pregătire și pentru a descuraja comportamentul care încalcă dreptul internațional, atât online, cât și offline” (https://www.eppgroup.eu). În esență, noua directivă va reuni o cultură și un ecosistem real de securitate cibernetică a UE, stabilind reguli minime pentru o cooperare eficientă și actualizarea listei sectoarelor și activităților supuse obligațiilor de securitate cibernetică.
Se cunoaște faptul că Directiva privind securitatea rețelelor și a informațiilor (NIS) a fost prima parte a legislației UE privind securitatea cibernetică, cu obiectivul specific de a atinge un nivel comun ridicat de securitate cibernetică în statele membre. Însă, deși a sporit capacitățile de securitate cibernetică ale statelor membre, implementarea sa s-a dovedit dificilă, ceea ce a dus la fragmentarea la diferite niveluri ale pieței interne. Regimul de supraveghere și de aplicare al Directivei NIS fiind ineficace și pentru că statele membre au fost foarte reticente față de aplicarea de sancțiuni entităților care nu pun în aplicare cerințele de securitate sau nu raportează incidentele.
Reziliența în materie de securitate cibernetică în întreaga Uniune nu poate fi eficace dacă este abordată într-un mod disparat prin fragmentări naționale sau regionale. Mai mult decât atât, transformarea digitală a societății (intensificată de criza provocată de pandemia de COVID-19) a extins situația amenințărilor și generează noi provocări care necesită răspunsuri adaptate și inovatoare. De asemenea, o analiză a Directivei NIS a relevat faptul că aceasta nu este suficient de clară în ceea ce privește domeniul de aplicare pentru operatorii de servicii esențiale, iar dispozițiile sale nu oferă suficientă claritate în ceea ce privește competența națională asupra furnizorilor de servicii digitale. De altfel, Directiva NIS a lăsat statelor membre o marjă largă de apreciere în ceea ce privește stabilirea cerințelor de raportare în materie de securitate și de incidente pentru operatorii de servicii esențiale. În plus, statele membre nu fac schimb sistematic de informații, iar acest lucru are consecințe negative, în special asupra eficacității măsurilor de securitate cibernetică și asupra nivelului de cunoaștere comună a situației la nivelul UE. Acest lucru este valabil și pentru schimbul de informații între entitățile private și pentru angajamentul dintre structurile de cooperare de la nivelul UE și entitățile private.
Ca atare, pentru a răspunde amenințărilor tot mai mari reprezentate de digitalizare și de creșterea atacurilor cibernetice, Comisia Europeană a prezentat o propunere de înlocuire a Directivei NIS în vederea consolidării cerințelor de securitate, abordării securității lanțului de aprovizionare, simplificării obligațiile de raportare și introducerii măsurilor de supraveghere și de aplicare a unor cerințe mai stricte, inclusiv sancțiuni armonizate în întreaga UE. Propunerea prevede o excludere generală a microîntreprinderilor și a întreprinderilor mici din domeniul de aplicare al NIS și un regim mai puțin strict de supraveghere ex post aplicat unui număr mare de entități noi care intră în domeniul de aplicare revizuit (https://www.europarl.europa.eu).
De asemenea, propunerea Comisiei stabilește obligația statelor membre de a adopta o strategie națională de securitate cibernetică, de a desemna autoritățile naționale competente. Ca parte a strategiilor lor naționale de securitate cibernetică, statele membre ar trebui să adopte politici privind promovarea unei protecții cibernetice active ca parte a unei strategii defensive mai ample. Aceasta abordare activă a protecției cibernetice vizează prevenirea, detectarea, monitorizarea, analizarea și atenuarea în mod activ ale încălcărilor securității rețelei, combinată cu utilizarea capacităților desfășurate în interiorul și în afara rețelei afectate. Astfel că, protecția cibernetică activă se bazează pe o strategie defensivă care exclude măsurile ofensive. Ca parte a promovării unei protecții cibernetice active ar fi incluse servicii sau instrumente gratuite oferite de către statele membre anumitor entități, inclusiv verificări în regim de autoservire, instrumente de detectare și servicii de retragere.
Potrivit propunerii Comisiei, Directiva se aplică anumitor „entități esențiale” publice sau private care își desfășoară activitatea în sectoarele: energie, transporturi, sectorul bancar, infrastructuri ale pieței financiare, sănătate, apă potabilă, ape uzate, infrastructura digitală, administrație publică și spațiu, precum și „sectoarelor importante”: servicii poștale și de curierat, gestionarea deșeurilor, fabricarea, producerea și distribuția de produse chimice, producția, prelucrarea și distribuția de alimente, producători și furnizori digitali.
Propunere Comisie Europene face parte dintr-un set mai larg de instrumente juridice existente și de inițiative viitoare adoptate la nivelul Uniunii care vizează creșterea nivelului de reziliență a entităților publice și private în fața amenințărilor.
Ca atare, legislația, convenită între Parlament și Consiliu în mai 2022, stabilește obligații mai stricte în sectorul securității cibernetice în ceea ce privește gestionarea riscurilor, raportarea și schimbul de informații. Aceste obligații includ, printre alte prevederi, răspunsul la incident, securitatea lanțului de aprovizionare, criptarea și divulgarea vulnerabilităților.
Cum numărul atacurilor cibernetice este în continuă creștere, iar acestea sunt tot mai sofisticate, provenind dintr-o gamă largă de surse din interiorul și din afara UE, mai ales în contextul conflictului armat din Ucraina, mai multe entități și sectoare vor trebui să ia măsuri de protecție. Conform Directivei NIS2 „sectoarele esențiale” precum energia, transportul, banca, infrastructura digitală, administrația publică și sectorul spațial vor fi acoperite de noile prevederi de securitate. Astfel că, într-o epocă în care criminalitatea informatică, spionajul sau operațiunile de sabotaj pot avea efecte în cascadă, NIS2 lărgește în mod just domeniul de aplicare. Deci, propunerea include sectoare care anterior nu erau considerate esențiale sau importante, dar care sunt cu siguranță considerate ca atare de către bandele de ransomware sau de către anumite state naționale. Parlamentul împărtășește ambiția propunerii Comisiei și consideră că instituțiile academice și de cercetare ar trebui incluse ca un nou sector, deoarece aceste instituții sunt puternic vizate, iar proprietatea lor intelectuală merită să fie protejată în temeiul NIS2. De asemenea, în timpul negocierilor, deputații au insistat asupra necesității unor reguli clare și precise pentru companii și a includerii cât mai multor entități publice și guvernamentale în domeniul de aplicare al directivei.
De altfel în Rezoluția legislativă a Parlamentului European din 10 noiembrie 2022 referitoare la propunerea de Directivă a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, adoptată cu 577 de voturi pentru, 6 împotrivă și 31 abțineri, se precizează faptul că “statele membre ar trebui să depună eforturi pentru a se asigura că entitățile care sunt excluse din domeniul de aplicare al Directive ating un nivel ridicat de securitate cibernetică”. De asemenea, statele membre trebuie să depună eforturi pentru a sprijini punerea în aplicare a unor măsuri echivalente de gestionare a riscurilor în materie de securitate cibernetică care să reflecte natura sensibilă a entităților respective, ținând cont de intensificarea și gradul sporit de sofisticare a amenințărilor cibernetice (https://www.europarl.europa.eu).
În acest context, Directiva NIS2 va ajuta aproximativ 160.000 de entități să-și consolideze securitatea și să facă din Europa un loc sigur pentru a trăi și a lucra. De asemenea, va permite schimbul de informații cu sectorul privat și parteneri din întreaga lume. Mai mult decât atât, Directiva NIS2 va permite un cadru pentru o mai bună cooperare și schimb de informații între diferite autorități și state membre și creează o bază de date europeană privind vulnerabilitățile.
Potrivit Parlamentului, aceasta este cea mai bună legislație de securitate adoptată pe acest continent, deoarece va transforma Europa pentru a-i permite să răspundă incidentelor cibernetice într-un mod proactiv și orientat spre servicii (https://www.europarl.europa.eu).
Întrucât amenințările la adresa securității rețelelor și a sistemelor informatice pot avea origini diferite, așa cum am precizat deja, măsurile de gestionare a riscurilor în materie de securitate cibernetică ar trebui să fie bazate pe o abordare multirisc. Această abordare vizează protecția rețelelor și a sistemelor informatice și a mediului fizic al acestor sisteme împotriva unor evenimente cum ar fi furturile, incendiile, inundațiile, defecțiunile la nivelul telecomunicațiilor sau al alimentării cu energie, accesul fizic neautorizat și deteriorarea, precum și interferența la nivelul informațiilor deținute de o entitate esențială sau de o entitate importantă (sau al echipamentelor entității respective de prelucrare a informațiilor).
Conform grupului PPE, actualizarea listei sectoarelor și activităților supuse obligațiilor de securitate cibernetică, precum și stabilirea de reguli minime pentru o cooperare eficientă reprezintă un plus necesar în domeniul securității cibernetice. Mai ales în contextul în care „recentele atacuri asupra conductelor Nordstream au demonstrat vulnerabilitatea și fragilitatea infrastructurii noastre critice”. Ceea ce înseamnă că acum suntem „cu toții mai conștienți decât oricând de amenințarea reprezentată de hackeri pentru cetățenii europeni, inclusiv din regimuri precum Rusia, China sau Iran”. Așa cum precizează grupul PPE, ultimele luni au evidențiat nevoia de a ne spori vigilența și de a apăra infrastructura europeană vitală. De aceea, Directiva NIS2 trebuie să includă acum „industriile noastre de servicii financiare, care dețin date importante legate de cetățenii și întreprinderile europene” (https://www.eppgroup.eu).
Pe măsură ce sectorul financiar se bazează din ce în ce mai mult pe software și procese digitale, are nevoie și de protecție sporită. În acest context, Digital Operational Resilience Act (DORA) va asigura că sectorul financiar al UE este mai rezistent la întreruperile operaționale grave și la atacurile cibernetice.
Categoric, implementarea unor reguli solide de securitate cibernetică sunt esențiale pentru a ajuta la digitalizarea finanțelor europene și pentru a oferi o protecție sporită a consumatorilor. Credința grupului PPE fiind acea că „Dacă dorim să rămânem atât siguri, cât și o piață competitivă la nivel global, în care oamenii pot investi cu încredere, trebuie să ne asigurăm că sectorul financiar din Europa este capabil să identifice, să reziste și să răspundă tuturor eventualelor perturbări și amenințări” (https://www.eppgroup.eu).
În mod concret, Directiva NIS2 cere companiilor să mențină controale de securitate adecvate asupra infrastructurii lor digitale. Aceste controale includ criptarea, autentificarea, controalele de acces și planurile de răspuns la incident. Cu toate acestea, Directiva NIS2 nu va suprasolicita sectorul financiar, însă va evidenția riscurile semnificative și va ajuta instituțiile să le gestioneze în mod adecvat.
De ce este deosebit de necesară Directiva NIS2? Atacurile cibernetice nu se opresc la granițele naționale și pot fi foarte costisitoare. De fapt, atacurile cibernetice au un caracter transfrontalier, iar un incident semnificativ poate perturba și afecta infrastructurile critice de informații de care depinde buna funcționare a pieței interne. Potrivit Comisiei Europene, costul anual al criminalității cibernetice pentru economia globală este estimat la 5,5 trilioane de euro până la sfârșitul anului 2020 (https://www.europarl.europa.eu). În același timp, statele membre UE, atunci când acționează împreună, sunt mult mai bine echipate pentru a lupta împotriva miilor de atacuri care afectează sectorul bancar în fiecare zi. Categoric, acesta este un domeniu în care cooperarea europeană va aduce beneficii uriașe, prin întărirea stabilității financiare și oferind o protecție îmbunătățită a consumatorilor.
Cert este că Directivă NIS2 stabilește măsuri care vizează obținerea unui nivel comun ridicat de securitate cibernetică în Uniune, cu scopul de a îmbunătăți funcționarea pieței interne. După ce a fost aprobat de Parlament pe 10 noiembrie, are nevoie de undă verde finală din partea țărilor UE în Consiliu, după care statele membre vor avea la dispoziție 21 de luni pentru a o implementa. Directivă NIS2 nu împiedică statele membre să adopte sau să mențină dispoziții care asigură un nivel mai ridicat de securitate cibernetică, cu condiția ca aceste dispoziții să fie în concordanță cu obligațiile statelor membre prevăzute în dreptul UE.
